FortiGate güçlü bir platform — ama bu güç, yanlış yapılandırıldığında güvenlik açığına dönüşür. Sahada yüzlerce kurulum yapan mühendislerimizin en sık karşılaştığı 10 hatayı ve çözümlerini derledik.
Hata 1: Admin Şifresini Default Bırakmak
Ne oluyor: Fabrika çıkışında FortiGate'in varsayılan admin şifresi boş veya "admin"dir. Kurulum aceleye gelince şifre değiştirilmeden bırakılır.
Risk: İnternete açık management portunda brute-force ile dakikalar içinde ele geçirilebilir. Fortinet'in güvenlik raporlarında en yaygın saldırı vektörlerinden biri.
Çözüm:
config system admin
edit admin
set password "KompleksB1rSifre!2026"
next
endMinimum 12 karakter, büyük/küçük harf + rakam + özel karakter. Tercihen FortiToken ile MFA ekleyin.
Hata 2: WAN Arayüzünde Administrative Access Açık Bırakmak
Ne oluyor: HTTPS, SSH veya ping WAN tarafında açık kalıyor. Yönetim kolaylığı için yapılır ama unutulur.
Risk: Cihaz internetten erişilebilir hale gelir. Fortinet CVE'leri keşfedildiğinde saldırganlar interneti tarayarak açık management port'larını hedef alır.
Çözüm: WAN arayüzünde tüm Administrative Access seçeneklerini kapatın. Yönetimi yalnızca iç ağ veya özel management arayüzü üzerinden yapın. Uzaktan yönetim gerekiyorsa VPN üzerinden erişin.
Hata 3: "Any/Any/Accept" Politikası Oluşturmak
Ne oluyor: "Şimdilik açalım, sonra kısıtlarız" düşüncesiyle her şeye izin veren geniş politika oluşturulur. Sonrası gelmez.
Risk: Firewall'ın tüm değeri yok olur. Zararlı trafik, veri sızıntısı ve lateral movement engellenmez.
Çözüm: En az ayrıcalık prensibi. Politikalar kaynak IP, hedef IP, port ve uygulama bazında olabildiğince dar tanımlanmalı. "İhtiyaç duyulduğunda aç, her şeyi kapalı bırak" anlayışı.
Hata 4: Log'u Kapatmak veya Hiç Yapılandırmamak
Ne oluyor: Disk dolmasın diye veya performans kaygısıyla log'lama devre dışı bırakılır ya da hiç yapılandırılmaz.
Risk: Saldırı tespit edilemez. Olay sonrası inceleme (forensics) yapılamaz. Uyumluluk gereksinimleri karşılanamaz.
Çözüm: En azından kritik politikalarda log'u açın. FortiAnalyzer veya Syslog sunucusuna log gönderin — böylece FortiGate diski dolmaz, loglar kaybolmaz.
config log setting
set resolve-ip enable
set log-user-in-upper enable
end
config log fortianalyzer setting
set status enable
set server "192.168.1.10"
endHata 5: FortiGuard Lisanslarını Yenilememeк
Ne oluyor: IPS, Antivirüs, Web Filter lisansları süresi dolduğunda uyarı çıkar ama atlanır. "Yine de çalışıyor" sanılır.
Risk: İmzalar güncellenmez. Yeni zararlı yazılımlar ve CVE'ler tespit edilemez. Cihaz var görünür ama gerçek koruma sağlamaz.
Çözüm: Dashboard'da lisans durumunu düzenli kontrol edin. Fortinet'in otomatik yenileme bildirimleri için e-posta uyarısı kurun. En az 1 yıllık lisans önceden yenileyin.
Hata 6: SSL Inspection'ı Hiç Aktif Etmemek
Ne oluyor: IPS ve antivirüs aktif görünür ama SSL inspection kapalıdır. İnternet trafiğinin %90'ı HTTPS olduğu için UTM motorları aslında kör çalışmaktadır.
Risk: Şifreli kanal içinde gelen zararlı yazılımlar, ransomware indirmeleri ve veri sızıntıları tespit edilemez.
Çözüm: SSL Deep Inspection profilini aktif edin, CA sertifikasını GPO ile tüm istemcilere dağıtın ve internet çıkışı politikalarına ekleyin.
Hata 7: Firmware'i Hiç Güncellememek
Ne oluyor: "Çalışan sisteme dokunma" prensibiyle FortiOS yıllarca güncellenmez. Bazı cihazlarda 5-6 yıl önceki firmware görüyoruz.
Risk: Kritik CVE'ler açıkta kalır. Fortinet, özellikle SSL VPN ve management arayüzünde zaman zaman kritik güvenlik yamaları yayınlar. Güncellenmeyen cihazlar saldırılara açık hedef olur.
Çözüm: Yılda en az 2 kez firmware güncellemesi planlayın. Kritik güvenlik yamaları (PSIRT advisory) için acil güncelleme yapın. Güncelleme öncesi backup almayı unutmayın.
Hata 8: HA Kurulumunda Heartbeat'i Tek Hat Üzerinden Geçirmek
Ne oluyor: HA cluster kurulur ama heartbeat bağlantısı tek bir kablo veya switch üzerinden sağlanır.
Risk: O kablo veya switch arızalandığında her iki cihaz da kendini master sanır (split-brain). İki cihaz çakışarak ağ kesintisi yaşanır — HA'nın kendisi sorun kaynağı olur.
Çözüm: En az iki bağımsız heartbeat bağlantısı kullanın. Tercihen farklı fiziksel yollar üzerinden — doğrudan kablo bağlantısı en güvenilir seçenektir.
Hata 9: Yedek Almadan Değişiklik Yapmak
Ne oluyor: "Küçük bir değişiklik yapacağım" deniyor, backup alınmıyor. Bir hata tüm konfigürasyonu bozuyor.
Risk: Yanlış bir politika veya rota değişikliği tüm ağın internetten kopmasına yol açabilir. Geri dönmek için saatler harcanabilir.
Çözüm: Her değişiklik öncesi backup alın:
execute backup full-config tftp 192.168.1.100 backup_20260522.confOtomatik zamanlanmış backup için FortiManager kullanın veya script ile düzenli yedekleme yapın.
Hata 10: Kullanılmayan Politikaları ve Nesneleri Temizlememek
Ne oluyor: Yıllar içinde politika listesi şişer. Kullanılmayan adres nesneleri, servis grupları ve politikalar birikir. "Belki lazım olur" diye silinmez.
Risk: Karmaşık politika tablosu yönetimi zorlaştırır. Gizli bir "allow all" politikası gözden kaçabilir. Performans etkilenebilir.
Çözüm: Üç ayda bir FortiView Policies ekranına bakın — sıfır oturumlu politikaları tespit edin. Security Rating'deki "unused policies" uyarılarını takip edin. Yıllık politika denetimi alışkanlığı edinin.
Özet Kontrol Listesi
- ☐ Admin şifresi değiştirildi mi?
- ☐ WAN'da management access kapalı mı?
- ☐ "Any/Any/Accept" politikası yok mu?
- ☐ Log'lama aktif ve merkezi log sunucusu var mı?
- ☐ FortiGuard lisansları güncel mi?
- ☐ SSL Deep Inspection açık mı?
- ☐ Firmware güncel mi? (son 6 ay içinde kontrol edildi mi?)
- ☐ HA'da çift heartbeat var mı?
- ☐ Düzenli backup alınıyor mu?
- ☐ Politika temizliği yapıldı mı?
Sonuç
Bu hataların büyük bölümü tecrübesizlikten değil, zaman baskısı ve "sonra hallederim" ertelemesinden kaynaklanır. Düzenli güvenlik denetimleri bu riskleri minimuma indirir. Lider Network olarak FortiGate güvenlik denetimi, yapılandırma revizyonu ve best-practice uygulamaları konusunda NSE sertifikalı mühendislerimizle yanınızdayız.